#news Рансомварь-операции – дело непростое, так что злоумышленники рангом пониже из Midnight Group обходятся малым. Они рассылают фейковые уведомления о взломе в компании в расчёте, что хватит одной социнженерии в так называемых Phantom Incident Extortions. Группировка угрожает опубликовать несуществующие украденные данные и задудосить тех, кто откажется платить.
В идущей несколько недель кампании злоумышленники выдают себя за осколок Conti, Luna Moth, чтобы придать вес своим угрозам. Жертвами мошенников часто становятся компании, ранее действительно пострадавшие от рансомвари. Судя по тому, что о некоторых атаках не было информации в публичном доступе, здесь может идти сотрудничество с группировками, стоявшими за реальными атаками. Между тем вымогатели периодически совсем забывают делать домашнюю работу. Так, одно письмо пришло сотруднику компании, в которой он уже больше полгода как не работал. Должно быть, угрозы его не сильно впечатлили.
@tomhunter
В идущей несколько недель кампании злоумышленники выдают себя за осколок Conti, Luna Moth, чтобы придать вес своим угрозам. Жертвами мошенников часто становятся компании, ранее действительно пострадавшие от рансомвари. Судя по тому, что о некоторых атаках не было информации в публичном доступе, здесь может идти сотрудничество с группировками, стоявшими за реальными атаками. Между тем вымогатели периодически совсем забывают делать домашнюю работу. Так, одно письмо пришло сотруднику компании, в которой он уже больше полгода как не работал. Должно быть, угрозы его не сильно впечатлили.
@tomhunter
🔥8😁2❤1🤬1
#news По следам недавней атаки по 3CX выяснилось, что злоумышленники закидывали бэкдор в криптокомпании. Исследователи обнаружили Gopuram, визитную карточку северокорейских хакеров, на некоторых заражённых машинах. При этом их меньше десятка, так что бэкдор засылали с хирургической точностью. На фоне этого массовая рассылка инфостилера выглядит как разведоперация для поиска нужных целей с полноценным бэкдором в качестве конечной нагрузки.
Каким образом Lazarus скомпрометировали сети 3CX, пока неясно. Пока очевидно, что троянизированные версии софта как-то попали в их девелоперскую среду в духе печально известного инцидента с SolarWinds. Между тем анализ сетей показал, что северокорейцы работали над этой операцией ещё с осени прошлого года. Об успешности атаки пока судить рано. Но крупные криптокражи сезона 2023 от северокорейских стахановцев вполне могут стать последствиями этой атаки. Так что будем следить за развитием событий.
@tomhunter
Каким образом Lazarus скомпрометировали сети 3CX, пока неясно. Пока очевидно, что троянизированные версии софта как-то попали в их девелоперскую среду в духе печально известного инцидента с SolarWinds. Между тем анализ сетей показал, что северокорейцы работали над этой операцией ещё с осени прошлого года. Об успешности атаки пока судить рано. Но крупные криптокражи сезона 2023 от северокорейских стахановцев вполне могут стать последствиями этой атаки. Так что будем следить за развитием событий.
@tomhunter
🤯8🔥3🤬1
#news Год назад я уже поднимал тему лучших бесплатных инструментов для #OSINT, которые используются в нашем департаменте расследований. Прошлый год был тяжелый, но интересный. Некоторые разработки перестали работать в России. Многие, напротив, были созданы в нашей стране. В этой статье мы рассмотрим инструменты, каждый день находящие свое применение в нашей компании. Итак, поехали!
@tomhunter
@tomhunter
Хабр
ТОП бесплатных OSINT-инструментов по версии компании T.Hunter в 2023-м году
Год назад я уже поднимал тему лучших бесплатных инструментов для OSINT, которые используются в нашем департаменте расследований. Прошлый год был тяжелый, но интересный. Некоторые разработки перестали...
❤7🔥4🤔1🤯1🤬1
#news ФБР перехватило домены Genesis Market, крупного маркета по торговле паролями и данными, украденными инфостилерами с миллионов компьютеров по всему миру. Маркет торговал ботами с логами, куки и отпечатками браузеров со скомпрометированных устройств. На март 2023-го на продажу были выставлены почти полмиллиона ботов. Самыми дорогими, естественно, были устройства с доступом к Coinbase и прочим финансовым платформам.
Genesis Market отметился несколькими инновациями и громкими взломами. Так, взлом EA в июне 2021-го и стянутые исходники произошёл благодаря боту с маркета за 10 баксов с доступом к Slack-аккаунту компании. Но теперь его история подошла к концу: прямо сейчас в США и других странах выдают десятки ордеров на арест операторов и брокеров маркета. Ну а заглушка от любителей чертовски хорошего кофе жизнерадостно призывает всех желающих сдать ФБР администраторов сайта. Операция «Cookie Monster» полностью состоялась.
@tomhunter
Genesis Market отметился несколькими инновациями и громкими взломами. Так, взлом EA в июне 2021-го и стянутые исходники произошёл благодаря боту с маркета за 10 баксов с доступом к Slack-аккаунту компании. Но теперь его история подошла к концу: прямо сейчас в США и других странах выдают десятки ордеров на арест операторов и брокеров маркета. Ну а заглушка от любителей чертовски хорошего кофе жизнерадостно призывает всех желающих сдать ФБР администраторов сайта. Операция «Cookie Monster» полностью состоялась.
@tomhunter
🔥10❤1🤬1🎉1
#news К любопытным новинкам от мира рансомвари. Недавно обнаруженный вредонос Rorschach обладает уникальными фичами, среди которых частичная автономность и скорость шифрования. С объёмом данных, шифруемым LockBit 3.0 за 7 минут, новичок справился за 4.5 минуты. В сущности самый быстрый из отслеживаемых на сегодня энкрипторов.
Rorschach засекли после атаки по американской компании методом перехвата DLL’ки в Cortex XDR от Palo Alto Networks. Вредонос идёт с анти-анализом на загрузчике и виртуализацией части кода в нагрузке для защиты от обратной инженерии. Прерывистое шифрование для увеличения скорости, под что оптимизирован весь код. Исследователи делают вывод, что в Rorschach собрали лучшие фичи из рансомвари, чьи исходники утекали в сеть – Babuk, LockBit v2.0 и DarkSide. В общем, этот зловред ставит новую планку для рансомварь-атак. О его операторах пока ничего неизвестно, но снгшные локали он не шифрует. Так что сами понимаете. Подробнее о новинке в отчёте от Check Point.
@tomhunter
Rorschach засекли после атаки по американской компании методом перехвата DLL’ки в Cortex XDR от Palo Alto Networks. Вредонос идёт с анти-анализом на загрузчике и виртуализацией части кода в нагрузке для защиты от обратной инженерии. Прерывистое шифрование для увеличения скорости, под что оптимизирован весь код. Исследователи делают вывод, что в Rorschach собрали лучшие фичи из рансомвари, чьи исходники утекали в сеть – Babuk, LockBit v2.0 и DarkSide. В общем, этот зловред ставит новую планку для рансомварь-атак. О его операторах пока ничего неизвестно, но снгшные локали он не шифрует. Так что сами понимаете. Подробнее о новинке в отчёте от Check Point.
@tomhunter
🤯8❤5🔥3
#news Пока ФБР и Интерпол регулярно кладут маркетплейсы, форумы и прочие киберпрестные площадки, среди злоумышленников идёт тренд на децентрализацию. Так, Телеграм наводнили продавцы инструментов для фишинга. И спектр услуг довольно широк: готовые киты под всевозможные площадки, фейковые страницы для криптоскама, подписки на гайды, техподдержка и многое другое.
Среди прочего это ещё и автоматизированные боты для создания фишинговых страниц. А также торговля данными доступа и и услугами по получению паролей для обхода двухфакторки. В общем, инструменты на любой вкус. Увы, исследователи также отмечают, что переезд всего этого в Телеграм сильно снижает порог вхождения начинающих киберпреступников в тему. Вместо поиска форумов в дарквебе и штудирования гайдов, амбициозные юные дарования получают всё нужное на руки, не отвлекаясь от листания канальчиков с мемами. На фоне этого рост числа фишинговых страниц в сети за последние полгода не то чтобы удивляет.
@tomhunter
Среди прочего это ещё и автоматизированные боты для создания фишинговых страниц. А также торговля данными доступа и и услугами по получению паролей для обхода двухфакторки. В общем, инструменты на любой вкус. Увы, исследователи также отмечают, что переезд всего этого в Телеграм сильно снижает порог вхождения начинающих киберпреступников в тему. Вместо поиска форумов в дарквебе и штудирования гайдов, амбициозные юные дарования получают всё нужное на руки, не отвлекаясь от листания канальчиков с мемами. На фоне этого рост числа фишинговых страниц в сети за последние полгода не то чтобы удивляет.
@tomhunter
🔥7❤1😁1
#news Занятные подробности о разработке автопилота Tesla. В компании годами сидели специалисты, которые просматривали тысячи фото и видео с камер машин для распознания объектов. А так как коллектив был молодой и задорный, они делились в корпоративных и личных чатах кадрами и роликами. Смешные мемчики из животных и падающих прохожих. Несмешные сбитые дети. Совсем несмешные записи из гаражей, где машины стояли припаркованными и выключенными.
Камеры, конечно, разработаны с нуля, а записи анонимизированы, но вот локацию съёмки ПО исправно показывает. Так что в теории отследить «анонимного» владельца не так трудно. В компании пытались бороться с чатиками с записями сам-себе-режиссёров поневоле, но всё это просто перешло в личную переписку. Вот так заклеивание камеры на устройствах уже не кажется уделом параноика. Представьте лицо сотрудника Tesla, когда последнее, что он видит, – это изоленту на полудюжине камер авто. Become ungovernable!
@tomhunter
Камеры, конечно, разработаны с нуля, а записи анонимизированы, но вот локацию съёмки ПО исправно показывает. Так что в теории отследить «анонимного» владельца не так трудно. В компании пытались бороться с чатиками с записями сам-себе-режиссёров поневоле, но всё это просто перешло в личную переписку. Вот так заклеивание камеры на устройствах уже не кажется уделом параноика. Представьте лицо сотрудника Tesla, когда последнее, что он видит, – это изоленту на полудюжине камер авто. Become ungovernable!
@tomhunter
🔥7😁7
#news Встречайте кандидата на замену почившему Breached: на фоне вакуума, возникшего после его отключения, занять его стремится группировка ARES. Их платформа ARES Leaks в верхнем интернете используется для продажи всевозможной информации, от почтовых ящиков и паспортов до баз данных и правительственных утечек. И на поднятый ими в начале этого года форум LeakBase пошёл активный поток осиротевших злоумышленников с Breached.
Пока это лишь бледная тень закрытого форума, но потенциал для роста в очередной крупный киберпреступный хаб по торговле данными имеется. Группировка, судя по всему, хорошо организована и рассчитывает занять образовавшуюся нишу. Так что можно следить за развитием событий и делать ставки, сколько протянет потенциальный преемник. Breached, напомню, не продержался и года.
@tomhunter
Пока это лишь бледная тень закрытого форума, но потенциал для роста в очередной крупный киберпреступный хаб по торговле данными имеется. Группировка, судя по всему, хорошо организована и рассчитывает занять образовавшуюся нишу. Так что можно следить за развитием событий и делать ставки, сколько протянет потенциальный преемник. Breached, напомню, не продержался и года.
@tomhunter
❤6🔥3
#news MSI на днях подтвердила рансомварь-атаку, новости о которой появились на прошлой неделе. За ней стояла новая группировка Money Message, информация о которой появилась совсем недавно. Злоумышленники утверждают, что стянули 1,5TB документов, ключей и исходников, включая прошивку. Группировка требует $4 миллиона, иначе на этой неделе утечка пойдёт на их сайт.
Компания, конечно, пытается сохранить лицо и отрицает какой-либо серьёзный ущерб своим системам. Подробностями атаки они тоже не делятся. Между тем в сухом заявлении MSI интересно другое: настойчивый призыв к юзерам ставить обновления BIOS/прошивки только с официального сайта. Так что, видимо, её исходники действительно на руках у злоумышленников. Что, конечно, пользователям MSI ничего хорошего не сулит в форме вредоноса в липовых обновлениях прошивки, которые в скором времени могут начать циркулировать по сети.
@tomhunter
Компания, конечно, пытается сохранить лицо и отрицает какой-либо серьёзный ущерб своим системам. Подробностями атаки они тоже не делятся. Между тем в сухом заявлении MSI интересно другое: настойчивый призыв к юзерам ставить обновления BIOS/прошивки только с официального сайта. Так что, видимо, её исходники действительно на руках у злоумышленников. Что, конечно, пользователям MSI ничего хорошего не сулит в форме вредоноса в липовых обновлениях прошивки, которые в скором времени могут начать циркулировать по сети.
@tomhunter
🔥6😢5❤1
На Хабре вышел наш традиционный дайджест по следам ушедшего месяца. Так что если вы пропустили самые громкие новости марта, у нас в программе закрытие Breached и ещё одной киберпреступной платформы, ультразвуковые атаки, страсти по GPT-4 от экспертов и правительств, релиз исходников NordVPN и другие горячие события первого весеннего месяца. За подробностями добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥10❤1
#news Злоумышленники затопили репозиторий NPM пустыми пакетами с ссылками на вредоносные сайты для эксплойта запросов в поисковиках. Причём поток шёл такой, что число опубликованных версий скакнуло с ~800 тысяч до 1,42 миллиона пакетов, а сам репозиторий периодически был недоступен от такой импровизированной DoS-атаки.
Часть пакетов идёт со ссылками на малварь, среди которой инфостилеры, ботнеты, лоадеры и криптомайнеры. Другие набиты реферальными ссылками на Алиэкспресс и прочие маркетплейсы. Ну а третьи… зазывают русскоговорящих юзеров в телеграм-канал о криптовалютах. Это, конечно, довольно экстравагантный метод продвижения очередной инфоцыганской помойки. Видимо, назойливая реклама в самом Телеграме с заманчивыми предложениями озолотиться на загадочных бетховенах приносит всё меньше подписчиков.
@tomhunter
Часть пакетов идёт со ссылками на малварь, среди которой инфостилеры, ботнеты, лоадеры и криптомайнеры. Другие набиты реферальными ссылками на Алиэкспресс и прочие маркетплейсы. Ну а третьи… зазывают русскоговорящих юзеров в телеграм-канал о криптовалютах. Это, конечно, довольно экстравагантный метод продвижения очередной инфоцыганской помойки. Видимо, назойливая реклама в самом Телеграме с заманчивыми предложениями озолотиться на загадочных бетховенах приносит всё меньше подписчиков.
@tomhunter
🤔9😁7❤1🔥1
#news Майкрософт исправила нулевой день, активно используемый в атаках. Критическая уязвимость CVE-2023-28252 на эскалацию привилегий в драйвере CLFS затрагивает все поддерживаемые клиентские и серверные версии Windows и используется в простых атаках без участия юзера. Эксплойт ведёт к повышению прав до System со всем из этого вытекающим.
Между тем это нулевой день был замечен в ходу у рансомварь-группировки Nokoyawa в феврале. Исследователи отмечают, что использование нулевых дней киберпреступниками становится всё более рутинным делом, в то время как раньше по ним в основном работали госхакеры. Ну а возвращаясь к эксплойту, исправление к нему вышло в рамках апрельского вторника патчей. Подробнее о нём по ссылке.
@tomhunter
Между тем это нулевой день был замечен в ходу у рансомварь-группировки Nokoyawa в феврале. Исследователи отмечают, что использование нулевых дней киберпреступниками становится всё более рутинным делом, в то время как раньше по ним в основном работали госхакеры. Ну а возвращаясь к эксплойту, исправление к нему вышло в рамках апрельского вторника патчей. Подробнее о нём по ссылке.
@tomhunter
❤6🔥3😁1
#news WhatsApp представил новые фичи для защиты аккаунтов от кражи. Среди них внимания заслуживает «Device Verification»: фича блокирует перехват аккаунта юзера с помощью краденых ключей аутентификации и сторонних клиентов. Достигается это за счёт трёх новых параметров: токена безопасности на устройстве, проверки клиента при запросах на получение сообщений с сервера WhatsApp и асинхронного пинга по устройству.
Помимо этого, «Account Protect» добавляет дополнительный запрос в клиенте при попытке перевода аккаунта на другое устройство. А Automatic Security Codes позволяет автоматически валидировать ключи шифрования и проверить, включено ли сквозное шифрование. Новые фичи уже доступны под Андроид, «Device Verification» в процессе выхода под iOS. Так или иначе, скама с просьбой занять тысячу-другую от взломанных контактов в любимом мессенджере бабушки теперь должно стать меньше.
@tomhunter
Помимо этого, «Account Protect» добавляет дополнительный запрос в клиенте при попытке перевода аккаунта на другое устройство. А Automatic Security Codes позволяет автоматически валидировать ключи шифрования и проверить, включено ли сквозное шифрование. Новые фичи уже доступны под Андроид, «Device Verification» в процессе выхода под iOS. Так или иначе, скама с просьбой занять тысячу-другую от взломанных контактов в любимом мессенджере бабушки теперь должно стать меньше.
@tomhunter
🔥6❤4💩2😁1🤡1
#news Европол сообщает об аресте пяти человек, стоявших за крупной мошеннической схемой с онлайн-инвестированием. Пять колл-центров, 33 тысячи жертв и около $100 миллионов ущерба на счету группировки, работавшей с 2019-го года. Аресты прошли в марте по следам обысков в Болгарии, Румынии, Грузии и Израиле.
Жертвы попадали на рекламируемые в соцсетях и интернете сайты и вкладывали от 200 евро в обещания крупных дивидендов. Дальше им звонили мошенники из колл-центров, представлялись финансовыми консультантами и раскручивали на дальнейшие вложения. Интерес подогревали липовыми графиками и софтом, рисовавшим заманчивые цифры. Ну а затем инвестиции, как водится, сгорали. Возможно, под ироничное «И-и-и, их нет!» от скамеров.
@tomhunter
Жертвы попадали на рекламируемые в соцсетях и интернете сайты и вкладывали от 200 евро в обещания крупных дивидендов. Дальше им звонили мошенники из колл-центров, представлялись финансовыми консультантами и раскручивали на дальнейшие вложения. Интерес подогревали липовыми графиками и софтом, рисовавшим заманчивые цифры. Ну а затем инвестиции, как водится, сгорали. Возможно, под ироничное «И-и-и, их нет!» от скамеров.
@tomhunter
🔥6😁4
#news К вопросу о том, что, вероятно, ждёт осиротевших юзеров с закрытого Breached. Голландская полиция рассылает пользователям RaidForums письма с о том, что им стоило бы удалить украденные данные и прекратить заниматься незаконными делишками. Тысячи имейлов и сотни бумажных писем разослали счастливчикам с предупреждением, что за ними следят.
Юзеров форума отследили после анализа баз RaidForums с почтами и айпишниками на регистрацию, постинг и скачивание. Письма озаглавлены «Предупреждение от полиции пользователям RaidForums» и содержат грустное оповещение, что вы, товарищ аноним, уже совсем не аноним. Метод запугивания, полагаю, довольно эффективный. Мало кто будет рад получить от товарища майора ехидное письмо формата «Мы следим за тобой, киберпреступное ничтожество».
@tomhunter
Юзеров форума отследили после анализа баз RaidForums с почтами и айпишниками на регистрацию, постинг и скачивание. Письма озаглавлены «Предупреждение от полиции пользователям RaidForums» и содержат грустное оповещение, что вы, товарищ аноним, уже совсем не аноним. Метод запугивания, полагаю, довольно эффективный. Мало кто будет рад получить от товарища майора ехидное письмо формата «Мы следим за тобой, киберпреступное ничтожество».
@tomhunter
🔥9😁5
#news 27 апреля в Санкт-Петербурге пройдет очередная ежегодная конференция "Код ИБ". Руководитель департамента расследования T.Hunter Игорь Бедеров обсудит с участниками вопрос использования пробивочных ботов в OSINT. Являются ли они единственным и достаточным источником достоверной информации? Насколько безопасно их использование? Какие существуют новые методы и приемы интернет-разведки? Приходите, будет интересно!
Регистрация по ссылке: http://codeib.ru/r/32S
Как это было в прошлом году: https://youtu.be/W7Ajwc97y4U
@tomhunter
Регистрация по ссылке: http://codeib.ru/r/32S
Как это было в прошлом году: https://youtu.be/W7Ajwc97y4U
@tomhunter
❤6🔥4🤔1💩1
#news LockBit, судя по всему, работает над энкриптором под MacOS. На VirusTotal обнаружили архив c образцом зловреда под яблочные системы. Что, собственно, делает LockBit первой крупной рансомварь-группировкой, нацелившейся на Макось. Разработка рассчитана и под новые Маки на Apple Silicon, и под старые версии.
Между тем обнаруженное исследователями – это пока очень ранние тестовые билды, набитые отсылками на VMware ESXi и расширения файлов под Windows. Более того, энкриптор крашится из-за бага на переполнение буфера, не подписан и не учитывает TCC/SIP. Так что сначала злоумышленникам предстоит придумать как обойти TCC и заверить энкриптор, прежде чем он пойдёт в работу. Представитель LockBit заявил журналистам, что рансомварь под Макось в активной разработке. Но пока неясно, увидим ли мы от этого какой-то выхлоп в будущем. В таком случае целями части группировки, увы, станут простые юзеры и малый бизнес. Подробнее об энкрипторе по ссылке.
@tomhunter
Между тем обнаруженное исследователями – это пока очень ранние тестовые билды, набитые отсылками на VMware ESXi и расширения файлов под Windows. Более того, энкриптор крашится из-за бага на переполнение буфера, не подписан и не учитывает TCC/SIP. Так что сначала злоумышленникам предстоит придумать как обойти TCC и заверить энкриптор, прежде чем он пойдёт в работу. Представитель LockBit заявил журналистам, что рансомварь под Макось в активной разработке. Но пока неясно, увидим ли мы от этого какой-то выхлоп в будущем. В таком случае целями части группировки, увы, станут простые юзеры и малый бизнес. Подробнее об энкрипторе по ссылке.
@tomhunter
🔥6❤2🤔1💩1
#news Вновь к вопросу о дивном мире китайский приложений, следящих за юзерами. Как выяснили исследователи, в Pinduoduo был эксплойт уязвимости CVE-2023-20963 в Android Framework на повышение привилегий без участия юзера. Дальше приложение маркетплейса скачивало дополнительные вредоносные модули для шпионажа за пользователем и доступа к его уведомлениям и файлам.
Напомню, месяц назад Гугл убрал приложение из Play Store из-за наличия в нём малвари. И хотя Pinduoduo используют в основном в Китае, другое приложение компании для маркетплейса Temu – самое скачиваемое в яблочном магазине США уже который месяц. Как вредонос попал в приложение, вопрос открытый: от намеренного распространения разработчиками для коммерческого шпионажа до атаки на цепочку поставок. Так или иначе, случай довольно занятный.
@tomhunter
Напомню, месяц назад Гугл убрал приложение из Play Store из-за наличия в нём малвари. И хотя Pinduoduo используют в основном в Китае, другое приложение компании для маркетплейса Temu – самое скачиваемое в яблочном магазине США уже который месяц. Как вредонос попал в приложение, вопрос открытый: от намеренного распространения разработчиками для коммерческого шпионажа до атаки на цепочку поставок. Так или иначе, случай довольно занятный.
@tomhunter
🔥5🤯3❤1
#news Продолжая тему китайских хакеров, у одной из группировок на госзаказе, APT41, обнаружили в атаках опенсорс-инструмент для пентеста от Гугла, Google Command and Control. Он не требует особого сетапа и стучит только по доменам самого Гугла, что делает обнаружение более сложным. Так что китайцы приспособили его под C2-сервера, отправляющие на скомпрометированные устройства команды через Google Sheets. И с Google Drive для скачивания зловреда и облаком для похищения данных.
Помимо этого, в ходу у злоумышленников засветился и другой легитимный софт, Action1 для удалённого управления. Несколько группировок используют его для доставки малвари, причём до ста рабочих точек софт бесплатный. Сплошные удобства! Это всё, собственно, к тому, что будет после Cobalt Strike. С учётом того, что его обнаруживает уже каждая собака, вопрос альтернатив для киберпреступников встаёт всё острее. Увы, здесь им на помощь опять приходит вполне себе легальный софт.
@tomhunter
Помимо этого, в ходу у злоумышленников засветился и другой легитимный софт, Action1 для удалённого управления. Несколько группировок используют его для доставки малвари, причём до ста рабочих точек софт бесплатный. Сплошные удобства! Это всё, собственно, к тому, что будет после Cobalt Strike. С учётом того, что его обнаруживает уже каждая собака, вопрос альтернатив для киберпреступников встаёт всё острее. Увы, здесь им на помощь опять приходит вполне себе легальный софт.
@tomhunter
❤6😁2🔥1🤯1
#news Полиция ищет «казанского Брейвика» — админа Telegram-канала, который пообещал сегодня утром устроить массовое убийство в школе, мечети и ТЦ - сообщает Baza.
Специалисты T.Hunter проанализировали новость и констатировали, что никакого «казанского Брейвика» не существует в природе, а администратором одноименного канала является уроженец Украины Ярослав Овсюк, который уже брал на себя ответственность за расстрел в школе в Ижевске в 2022 году. По данным открытых источников Овсюк может находиться на территории Польши. Деструктивный канал был заблокирован.
@tomhunter
Специалисты T.Hunter проанализировали новость и констатировали, что никакого «казанского Брейвика» не существует в природе, а администратором одноименного канала является уроженец Украины Ярослав Овсюк, который уже брал на себя ответственность за расстрел в школе в Ижевске в 2022 году. По данным открытых источников Овсюк может находиться на территории Польши. Деструктивный канал был заблокирован.
@tomhunter
🔥15🤡3❤1😁1🤔1
#news У Брайана Кребса вновь классика OSINT-расследований по владельцам киберпреступных сервисов. На этот раз лицо появилось у Faceless, работающего на малвари прокси-сервиса, который уже семь лет обеспечивает анонимностью злоумышленников. Ну а владельцем Faceless является MrMurza, наш соотечественник, на которого Кребс, предположительно, нарыл всю подноготную.
MrMurza активен на многих российских киберпреступных площадках как минимум с 2012-го года. По цепочке профилей, сообщений, ящиков и паролей Кребс вышел на некоего Дениса Викторовича Панкова. На товарища нашлись и фото, и дата рождения, и открытые ИП, и авто в Подмосковье. Герой истории постил о проксях и брутфорсе на хакерских форумах под ником Gaihnik25, был забанен в WoT за ботоводство и искал любовь на
@tomhunter
MrMurza активен на многих российских киберпреступных площадках как минимум с 2012-го года. По цепочке профилей, сообщений, ящиков и паролей Кребс вышел на некоего Дениса Викторовича Панкова. На товарища нашлись и фото, и дата рождения, и открытые ИП, и авто в Подмосковье. Герой истории постил о проксях и брутфорсе на хакерских форумах под ником Gaihnik25, был забанен в WoT за ботоводство и искал любовь на
dating.ru под игривым прозвищем Дэнчик. В общем, жил активной полноценной жизнью. На вопросы Кребса по всем адресам товарищ, увы, не ответил, но, должно быть, знатно удивился. Подробнее о Дэнчике читайте в отчёте.@tomhunter
😁13🔥4❤1